[go: up one dir, main page]

RU2014147315A - USE OF AUTHENTICATED MANIFESTOS TO ENSURE EXTERNAL CERTIFICATION OF MULTI-PROCESSOR PLATFORMS - Google Patents

USE OF AUTHENTICATED MANIFESTOS TO ENSURE EXTERNAL CERTIFICATION OF MULTI-PROCESSOR PLATFORMS Download PDF

Info

Publication number
RU2014147315A
RU2014147315A RU2014147315A RU2014147315A RU2014147315A RU 2014147315 A RU2014147315 A RU 2014147315A RU 2014147315 A RU2014147315 A RU 2014147315A RU 2014147315 A RU2014147315 A RU 2014147315A RU 2014147315 A RU2014147315 A RU 2014147315A
Authority
RU
Russia
Prior art keywords
processor
platform
processor system
identification key
key
Prior art date
Application number
RU2014147315A
Other languages
Russian (ru)
Other versions
RU2599340C2 (en
Inventor
Винсент Р. СКАРЛАТА
Саймон П. ДЖОНСОН
Владимир БЕКЕР
Джесс УОЛКЕР
Эми Л. СЭНТОНИ
Иттай АНАТИ
Рагхунандан МАКАРАМ
Фрэнсис Кс. МАККИН
Карлос В. РОЗАС
Удай Р. САВАГАОНКАР
Original Assignee
Интел Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Интел Корпорейшн filed Critical Интел Корпорейшн
Publication of RU2014147315A publication Critical patent/RU2014147315A/en
Application granted granted Critical
Publication of RU2599340C2 publication Critical patent/RU2599340C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Executing Machine-Instructions (AREA)

Abstract

1. Процессорная система, содержащая:архитектурно защищенную память; инесколько процессорных устройств, осуществляющих связь с этой архитектурно защищенной памятью, причем каждое процессорное устройство содержит первую процессорную логику для реализации архитектурно защищенной исполнительной среды путем выполнения по меньшей мере одного из следующих действий: выполнения команд, резидентных в архитектурно защищенной памяти, или предотвращения неавторизованного доступа к архитектурно защищенной памяти;отличающаяся тем, что каждое процессорное устройство дополнительно содержит вторую процессорную логику, предназначенную для установления защищенного канала связи со вторым процессорным устройством из состава этой процессорной системы с целью использования этого защищенного канала связи для синхронизации идентификационного ключа платформы, представляющей процессорную систему, и для передачи манифеста платформы, содержащего идентификационный ключ платформы, в систему сертификации.2. Процессорная система по п. 1, отличающаяся тем, что архитектурно защищенная память образована кэшем страниц анклава (ЕРС).3. Процессорная система по п. 1, отличающаяся тем, что первая процессорная логика дополнительно предназначена для реализации защищенной исполнительной среды анклава.4. Процессорная система по п. 1, отличающаяся тем, что вторая процессорная логика дополнительно предназначена для передачи идентификационного ключа платформы в систему обеспечения.5. Процессорная система по п. 1, отличающаяся тем, что вторая процессорная логика дополнительно предназначена для сохранения манифеста платформы в энергонезависимой па1. A processor system comprising: architecturally protected memory; more than one processor device communicating with this architecturally protected memory, each processor device having first processor logic for implementing an architecturally protected execution environment by performing at least one of the following actions: executing instructions resident in the architecturally protected memory, or preventing unauthorized access to architecturally protected memory; characterized in that each processor device further comprises a second processor logic designed to establish a secure communication channel with the second processor device from this processor system in order to use this secure communication channel to synchronize the platform identification key representing the processor system and to transfer the platform manifest containing the platform identification key to the certification system. 2 . The processor system according to claim 1, characterized in that the architecturally protected memory is formed by an enclave page cache (EPC) .3. The processor system according to claim 1, characterized in that the first processor logic is additionally designed to implement a protected enclave execution environment. The processor system according to claim 1, characterized in that the second processor logic is additionally designed to transmit the platform identification key to the provisioning system. The processor system according to claim 1, characterized in that the second processor logic is additionally designed to save the platform manifest in non-volatile

Claims (25)

1. Процессорная система, содержащая:1. A processor system comprising: архитектурно защищенную память; иarchitecturally protected memory; and несколько процессорных устройств, осуществляющих связь с этой архитектурно защищенной памятью, причем каждое процессорное устройство содержит первую процессорную логику для реализации архитектурно защищенной исполнительной среды путем выполнения по меньшей мере одного из следующих действий: выполнения команд, резидентных в архитектурно защищенной памяти, или предотвращения неавторизованного доступа к архитектурно защищенной памяти;several processor devices communicating with this architecturally protected memory, each processor device having a first processor logic for implementing an architecturally protected execution environment by performing at least one of the following actions: executing instructions resident in the architecturally protected memory, or preventing unauthorized access to architecturally protected memory; отличающаяся тем, что каждое процессорное устройство дополнительно содержит вторую процессорную логику, предназначенную для установления защищенного канала связи со вторым процессорным устройством из состава этой процессорной системы с целью использования этого защищенного канала связи для синхронизации идентификационного ключа платформы, представляющей процессорную систему, и для передачи манифеста платформы, содержащего идентификационный ключ платформы, в систему сертификации.characterized in that each processor device further comprises a second processor logic designed to establish a secure communication channel with a second processor device from this processor system in order to use this secure communication channel to synchronize the identification key of the platform representing the processor system and to transmit the platform manifest containing the platform’s identification key to the certification system. 2. Процессорная система по п. 1, отличающаяся тем, что архитектурно защищенная память образована кэшем страниц анклава (ЕРС).2. The processor system according to claim 1, characterized in that the architecturally protected memory is formed by an enclave page cache (EPC). 3. Процессорная система по п. 1, отличающаяся тем, что первая процессорная логика дополнительно предназначена для реализации защищенной исполнительной среды анклава.3. The processor system according to claim 1, characterized in that the first processor logic is additionally designed to implement a secure enclave execution environment. 4. Процессорная система по п. 1, отличающаяся тем, что вторая процессорная логика дополнительно предназначена для передачи идентификационного ключа платформы в систему обеспечения.4. The processor system according to claim 1, characterized in that the second processor logic is additionally designed to transmit the platform identification key to the support system. 5. Процессорная система по п. 1, отличающаяся тем, что вторая процессорная логика дополнительно предназначена для сохранения манифеста платформы в энергонезависимой памяти.5. The processor system according to claim 1, characterized in that the second processor logic is additionally designed to store the platform manifest in non-volatile memory. 6. Процессорная система по п. 1, отличающаяся тем, что синхронизация идентификационного ключа платформы содержит обмен идентификационными ключами процессоров со вторым процессорным устройством.6. The processor system according to claim 1, characterized in that the synchronization of the identification key of the platform comprises exchanging the identification keys of the processors with the second processor device. 7. Процессорная система по п. 1, отличающаяся тем, что вторая процессорная логика дополнительно предназначена для сохранения в энергонезависимой памяти ключевого двоичного объекта (blob), содержащего идентификационный ключ платформы и идентификационные ключи нескольких процессорных устройств.7. The processor system according to claim 1, characterized in that the second processor logic is additionally designed to store in a non-volatile memory a key binary object (blob) containing the platform identification key and the identification keys of several processor devices. 8. Способ, содержащий:8. A method comprising: установление, посредством первого процессорного устройства из состава процессорной системы, защищенного канала связи со вторым процессорным устройством из состава этой процессорной системы;the establishment, through the first processor device from the processor system, a secure communication channel with the second processor device from the processor system; синхронизацию, по указанному защищенному каналу связи, идентификационного ключа платформы, представляющей процессорную систему; иsynchronization, through the specified secure communication channel, of the platform identification key representing the processor system; and передачу манифеста платформы, содержащего идентификационный ключ платформы, в систему сертификации.transfer of the platform manifest containing the platform identification key to the certification system. 9. Способ по п. 8, дополнительно содержащий передачу манифеста платформы в систему обеспечения.9. The method of claim 8, further comprising transmitting the platform manifest to the provisioning system. 10. Способ по п. 8, дополнительно содержащий сохранение манифеста платформы в энергонезависимой памяти.10. The method of claim 8, further comprising storing the platform manifest in non-volatile memory. 11. Способ по п. 8, отличающийся тем, что установление защищенного канала связи содержит выполнение протокола согласования неаутентифицированного ключа.11. The method according to p. 8, characterized in that the establishment of a secure communication channel comprises executing a protocol for negotiating an unauthenticated key. 12. Способ по п. 8, отличающийся тем, что синхронизация идентификационного ключа платформы содержит обмен идентификационными ключами процессоров со вторым процессорным устройством.12. The method according to p. 8, characterized in that the synchronization of the identification key of the platform comprises exchanging the identification keys of the processors with the second processor device. 13. Способ по п. 8, отличающийся тем, что синхронизация идентификационного ключа платформы содержит назначение первого процессорного устройства в качестве ведущего процессора.13. The method according to p. 8, characterized in that the synchronization of the identification key of the platform contains the purpose of the first processor device as the host processor. 14. Способ по п. 13, дополнительно содержащий генерацию идентификационного ключа платформы посредством ведущего процессора.14. The method of claim 13, further comprising generating a platform identification key through the host processor. 15. Способ по п. 8, дополнительно содержащий:15. The method of claim 8, further comprising: сохранение в энергонезависимой памяти ключевого двоичного объекта (blob), содержащего идентификационный ключ платформы и идентификационные ключи нескольких процессорных устройств, входящих в состав процессорной системы.storing in non-volatile memory a key binary object (blob) containing the platform identification key and the identification keys of several processor devices that are part of the processor system. 16. Способ по п. 15, дополнительно содержащий:16. The method of claim 15, further comprising: вызов, при обнаружении перезагрузки процессорной системы, ключевого двоичного объекта из энергонезависимой памяти.a call, upon detection of a processor system reboot, of a key binary object from non-volatile memory. 17. Способ по п. 8, дополнительно содержащий:17. The method of claim 8, further comprising: передачу в систему сертификации требования добавить третье процессорное устройство в процессорную систему.the transfer to the certification system of the requirement to add a third processor device to the processor system. 18. Считываемый компьютером энергонезависимый носитель записи, содержащий исполняемые команды, при выполнении которых процессорная система осуществляет операции, содержащие:18. A computer-readable non-volatile recording medium containing executable instructions, during which the processor system performs operations containing: установление, посредством первого процессорного устройства из состава процессорной системы, защищенного канала связи со вторым процессорным устройством из состава этой процессорной системы;the establishment, through the first processor device from the processor system, a secure communication channel with the second processor device from the processor system; синхронизацию, по указанному защищенному каналу связи, идентификационного ключа платформы, представляющей процессорную систему; иsynchronization, through the specified secure communication channel, of the platform identification key representing the processor system; and передачу манифеста платформы, содержащего идентификационный ключ платформы, в систему сертификации.transfer of the platform manifest containing the platform identification key to the certification system. 19. Считываемый компьютером носитель записи по п. 18, дополнительно содержащий исполняемый команды, при выполнении которых процессорная система передает манифест платформы в систему обеспечения.19. A computer-readable recording medium according to claim 18, further comprising an executable instruction, upon execution of which the processor system transfers the platform manifest to the provisioning system. 20. Считываемый компьютером носитель записи по п. 18, дополнительно содержащий исполняемый команды, при выполнении которых процессорная система сохраняет манифест платформы в энергонезависимой памяти.20. The computer-readable recording medium according to claim 18, further comprising an executable instruction, upon execution of which the processor system stores the platform manifest in non-volatile memory. 21. Считываемый компьютером носитель записи по п. 18, отличающийся тем, что установление защищенного канала связи содержит выполнение протокола согласования неаутентифицированного ключа.21. A computer-readable recording medium according to claim 18, characterized in that the establishment of a secure communication channel comprises executing an unauthenticated key agreement protocol. 22. Считываемый компьютером носитель записи по п. 18, отличающийся тем, что синхронизация идентификационного ключа платформы содержит обмен идентификационными ключами процессоров со вторым процессорным устройством.22. A computer-readable recording medium according to claim 18, characterized in that the synchronization of the platform identification key comprises exchanging the identification keys of the processors with the second processor device. 23. Считываемый компьютером носитель записи по п. 18, отличающийся тем, что синхронизация идентификационного ключа платформы содержит назначение первого процессорного устройства в качестве ведущего процессора.23. A computer-readable recording medium according to claim 18, characterized in that the synchronization of the platform identification key comprises the purpose of the first processor device as a master processor. 24. Считываемый компьютером носитель записи по п. 23, дополнительно содержащий исполняемый команды, при выполнении которых процессорная система генерирует идентификационный ключ платформы посредством ведущего процессора.24. A computer-readable recording medium according to claim 23, further comprising an executable instruction, upon execution of which the processor system generates a platform identification key through the host processor. 25. Считываемый компьютером носитель записи по п. 18, дополнительно содержащий исполняемый команды, при выполнении которых процессорная система сохраняет в энергонезависимой памяти ключевой двоичный объект (blob), содержащий идентификационный ключ платформы и идентификационные ключи нескольких процессорных устройств, входящих в состав процессорной системы. 25. The computer-readable recording medium according to claim 18, further comprising executable instructions, upon execution of which the processor system stores a key binary object (blob) in non-volatile memory containing the platform identification key and the identification keys of several processor devices included in the processor system.
RU2014147315/08A 2013-12-24 2014-11-24 Use of authenticated manifests to ensure external certification of multiprocessor platforms RU2599340C2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/140,254 US9448950B2 (en) 2013-12-24 2013-12-24 Using authenticated manifests to enable external certification of multi-processor platforms
US14/140,254 2013-12-24

Publications (2)

Publication Number Publication Date
RU2014147315A true RU2014147315A (en) 2016-06-10
RU2599340C2 RU2599340C2 (en) 2016-10-10

Family

ID=51900165

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014147315/08A RU2599340C2 (en) 2013-12-24 2014-11-24 Use of authenticated manifests to ensure external certification of multiprocessor platforms

Country Status (4)

Country Link
US (1) US9448950B2 (en)
EP (1) EP2889800B1 (en)
CN (1) CN104850777B (en)
RU (1) RU2599340C2 (en)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8438392B2 (en) 2002-06-20 2013-05-07 Krimmeni Technologies, Inc. Method and system for control of code execution on a general purpose computing device and control of code execution in a recursive security protocol
US7203844B1 (en) 2002-06-20 2007-04-10 Oxford William V Method and system for a recursive security protocol for digital copyright control
US9575906B2 (en) * 2012-03-20 2017-02-21 Rubicon Labs, Inc. Method and system for process working set isolation
US9864861B2 (en) * 2014-03-27 2018-01-09 Intel Corporation Object oriented marshaling scheme for calls to a secure region
TWI533160B (en) * 2014-11-26 2016-05-11 緯創資通股份有限公司 Electronic system, electronic apparatus and access authentication method thereof
US9858195B2 (en) 2014-12-10 2018-01-02 International Business Machines Corporation Near-cache distribution of manifest among peer applications in in-memory data grid (IMDG) non structured query language (NO-SQL) environments
US10484172B2 (en) 2015-06-05 2019-11-19 Apple Inc. Secure circuit for encryption key generation
US10374805B2 (en) 2015-07-20 2019-08-06 Intel Corporation Technologies for trusted I/O for multiple co-existing trusted execution environments under ISA control
US10248791B2 (en) 2015-07-20 2019-04-02 Intel Corporation Technologies for secure hardware and software attestation for trusted I/O
US10140457B2 (en) * 2015-07-31 2018-11-27 Intel Corporation Secure input/output device management
US10261748B2 (en) * 2015-12-18 2019-04-16 Intel Corporation Technologies for protecting audio data with trusted I/O
US10536271B1 (en) 2016-01-10 2020-01-14 Apple Inc. Silicon key attestation
US10572687B2 (en) * 2016-04-18 2020-02-25 America as represented by the Secretary of the Army Computer security framework and hardware level computer security in an operating system friendly microprocessor architecture
US10708067B2 (en) * 2016-06-18 2020-07-07 Intel Corporation Platform attestation and registration for servers
US10642972B2 (en) * 2016-10-20 2020-05-05 Intel Corporation Extending packet processing to trusted programmable and fixed-function accelerators
US10439803B2 (en) * 2016-11-14 2019-10-08 Microsoft Technology Licensing, Llc Secure key management
RU2634202C1 (en) * 2016-12-27 2017-10-24 Открытое акционерное общество "Научно-производственное объединение Ангстрем" Device of hardware and software complex for generating key information and radio data for radio station
US11443033B2 (en) 2017-01-24 2022-09-13 Microsoft Technology Licensing, Llc Abstract enclave identity
CN110622161B (en) * 2017-06-16 2025-07-04 英特尔公司 Reconfigurable Device Bitstream Key Authentication
US10565130B2 (en) * 2017-09-25 2020-02-18 Intel Corporation Technologies for a memory encryption engine for multiple processor usages
US11082231B2 (en) * 2017-12-29 2021-08-03 Intel Corporation Indirection directories for cryptographic memory protection
EP3776323A1 (en) 2018-04-30 2021-02-17 Google LLC Secure collaboration between processors and processing accelerators in enclaves
WO2019212580A1 (en) 2018-04-30 2019-11-07 Google Llc Enclave interactions
CN112005230B (en) 2018-04-30 2024-05-03 谷歌有限责任公司 Managing secure zone creation through unified secure zone interface
US11165766B2 (en) 2018-08-21 2021-11-02 International Business Machines Corporation Implementing authentication protocol for merging multiple server nodes with trusted platform modules utilizing provisioned node certificates to support concurrent node add and remove
US11206141B2 (en) 2018-09-21 2021-12-21 International Business Machines Corporation Merging multiple compute nodes with trusted platform modules utilizing provisioned node certificates
US10885197B2 (en) 2018-09-21 2021-01-05 International Business Machines Corporation Merging multiple compute nodes with trusted platform modules utilizing authentication protocol with active trusted platform module provisioning
TWI707247B (en) * 2018-12-28 2020-10-11 中華電信股份有限公司 Data security system and operation method thereof
US11088846B2 (en) * 2019-03-28 2021-08-10 Intel Corporation Key rotating trees with split counters for efficient hardware replay protection
KR20210017083A (en) * 2019-08-06 2021-02-17 삼성전자주식회사 Electronic device and method for generating attestation certificate based on fused key
EP3819775A1 (en) 2019-11-06 2021-05-12 Microsoft Technology Licensing, LLC Confidential computing mechanism
EP3819774B1 (en) * 2019-11-06 2022-05-25 Microsoft Technology Licensing, LLC Confidential computing mechanism

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6986052B1 (en) * 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
US7574600B2 (en) * 2004-03-24 2009-08-11 Intel Corporation System and method for combining user and platform authentication in negotiated channel security protocols
US8001390B2 (en) 2007-05-09 2011-08-16 Sony Computer Entertainment Inc. Methods and apparatus for secure programming and storage of data using a multiprocessor in a trusted mode
WO2010057065A2 (en) 2008-11-14 2010-05-20 Intel Corporation Method and apparatus to provide secure application execution
US8843732B2 (en) 2009-12-21 2014-09-23 Intel Corporation Mechanism for detecting a no-processor swap condition and modification of high speed bus calibration during boot
US9087200B2 (en) 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
CN102473224B (en) 2009-12-22 2016-10-12 英特尔公司 The method and apparatus that safety applications performs is provided
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves
US8375221B1 (en) 2011-07-29 2013-02-12 Microsoft Corporation Firmware-based trusted platform module for arm processor architectures and trustzone security extensions
US9167002B2 (en) * 2013-08-15 2015-10-20 Microsoft Technology Licensing, Llc Global platform health management

Also Published As

Publication number Publication date
EP2889800B1 (en) 2017-06-28
CN104850777A (en) 2015-08-19
RU2599340C2 (en) 2016-10-10
US9448950B2 (en) 2016-09-20
US20150178226A1 (en) 2015-06-25
CN104850777B (en) 2019-01-08
EP2889800A1 (en) 2015-07-01

Similar Documents

Publication Publication Date Title
RU2014147315A (en) USE OF AUTHENTICATED MANIFESTOS TO ENSURE EXTERNAL CERTIFICATION OF MULTI-PROCESSOR PLATFORMS
BR102018015221B8 (en) METHOD FOR SECURE SHARING OF INFORMATION AND RELATED SYSTEM
BR112017014632A2 (en) ? method implemented by computer, and, computer system?
TWI570589B (en) Apparatus for providing trusted computing
CO2019007876A2 (en) Addressing a reliable runtime environment using encryption key
CO2018012982A2 (en) Virtualized security isolation based on hardware
BR112019000184A2 (en) communication flow for verification check and identification
HK1232356A1 (en) Authentication system and method
BR112017020675A2 (en) authentication agreement and key with perfect issuance secrecy
BR112018004896A2 (en) proxy device to represent multiple credentials
BR112019003520A2 (en) secure communication of network traffic
BR112015030544A2 (en) electronic authentication systems
MX387419B (en) NETWORK TOPOLOGY.
BR112018000323A2 (en) Secure handling of memory caches and cached software module identities for a method for isolating software modules through controlled encryption key management
MX390158B (en) METHOD AND DEVICE FOR DETERMINING A CONTROL AUTHORITY ON A USER DEVICE.
JP2014529147A5 (en)
JP2015503282A5 (en)
RU2016102997A (en) MOBILE COMMUNICATION DEVICE AND METHOD OF WORK WITH IT
BR112015019378A2 (en) data security service
BR112016011434A8 (en) communication system to carry out communication events between end points connected through a communication network, method of allocating resources in a communication system and a computer-readable medium
CO6400165A2 (en) METHOD AND SYSTEM TO PROCESS A TRANSACTION SAFELY
GB2541572A (en) Applications of secured memory areas and secure environments in policy-based access control systems for mobile devices
GB2533728A (en) Method for assigning an agent device from a first device registry to a second device registry
CN104021104B (en) A kind of cooperative system and its communication means based on dual-bus structure
MX373464B (en) BORROWING TARGET DEVICE RESOURCES TO THE PRIMARY DEVICE COMPUTING ENVIRONMENT.

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20181125